이차 활용을 위한 처리절차상의 쟁점

공공기관에서 수집된 생체 의료정보는 대규모의 데이터베이스를 통하여 의생명 과학연구를 위하여 이차 활용된다. 생체 의료정보를 이차 활용하는 의생명과학 연구는 궁극적으로 특정인을 분간하여 의료적인 혜택을 주기 위한 것이다.¹³⁰⁾ 이러한 경우 가명화는 재식별을 지원할 수 있는 장점이 있다. 하지만 가명화는 개인의 신원을 보호하기 위해 별도의 가명의 식별자(pseudo identifier, 혹은 중개자)를 가진 코딩 시스템을 포함해야 한다(그림 10).

129) 생명윤리 및 안전에 관한 법률 28조 참조.

130) Anne Cambon-Thomsen, 2004. “The Social and Cultural Issues of Post-Genomic Human Biobanks” Nature Reviews Genetics 5: pp. 866-873.

그림 10. 식별정보세트와 가명화 세트 (출처: ISO/IEC TS 25237)

이 가명의 식별자는 연구과정에서 실재 개인을 식별할 필요가 발생하는 경우, 생체정보 주체가 사망하는 경우, 생체정보가 도난당하는 경우 등을 대비하여 필요하다.

대부분 가명으로 사용되는 도메인이 다른 도메인과 어떻게 연결되는지 시나리오를 가지고 있다. 경우에 따라서는 권한을 가진 사람이 가명정보를 보관하고 있다가 필요한 때만 정보주체와 연결하여 식별하기도 한다. 따라서 이를 관리하는 사람의 역할은 매우 중요하다고 하겠다. 중간에서 가명과 실명을 연결하는 가명의 식별자를 누가 가지고 있는가가 쟁점이 될 수 있다.

‘생명윤리 및 안전에 관한 법률’에 근거한 지침에서는 인체유래물 은행의 기관위원회 위원장, 인체유래물 획득기관의 보안책임자, 인체유래물 획득기관의 기관장들이 가명의 식별자를 관리할 수 있다고 명시되어 있다. 이런 경우 이차 활용을 하는 공통의 정보에 대하여 각각 다른 가명의 식별자를 각 공공기관이 별도로 보유하는 결과가 되어 정보주체가 열람, 정정 청구권을 행사하려면 적지 않은 시간과 비용이 소요 될 것이다.

개인식별성(identifiability)은 이차 활용에 있어 매우 중요한 의미를 가진다.

왜냐하면, 이차활용은 정보의 조합이다. 그래서 이러한 조합을 통해서 그 자체로 정보주체를 식별할 수 없는 정보라고 하더라도 동일성을 식별할 수 있는 정보 (personally identifiable information)가 될 수 있다. 그렇게 되면 연구자 입장 에서는 ‘개인정보보호법’에서 정의하는 ‘개인정보’¹³¹⁾로 환원되어 연구진행과정 에서 위법이 되는 것이다. 그리고 정보주체의 입장에서는 동의 면제를 승인 받을 수 있는 조건이 익명화였으므로 여기서 얻을 수 있었던 개인정보보호의 보호 이익을 누릴 수 없게 된다.

익명화와 관련해서는 인체유래물은행 운영지침이 있다.¹³²⁾ 동 지침에는 개인 식별정보 중에서 암호화 대상을 명시하고 있다(표 5). 여기서 익명화 대상정보는 직접적 개인식별정보(Direct Identifier)이다.¹³³⁾ 하지만 다른 정보들과의 결합을 통해 개인식별이 가능한 ‘간접적 개인식별정보(Indirect Identifier)’¹³⁴⁾로서 ‘잠재적 개인식별정보’에 대해서는 무엇을 암호화해야 하는지 분명치 않다. 잠재적 개인 식별정보가 무엇을 지칭하는지는 알 수 없기 때문이다. 또한 잠재적 개인식별정보는 그 자체로는 개인식별정보가 아니므로 기관생명윤리위원회가 결정할 수 있는 대상 이다. 그러나 개인정보보호법상 개인정보의 개념에는 개인의 동일성이 식별된 정보 (personally identified information)뿐 아니라 동일성을 식별할 수 있는 정보(personally identifiable information)까지 포함된다. 즉 간접적 식별정보도 개인정보다.

131) 개인정보보호법 제2조1항 ; ‘개인정보’란 살아있는 개인에 관한 정보로서 성명, 주민등록번 호 및 영상을 통하여 개인을 알아 볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

132) http://www.irb.or.kr/Home/html/menu08/PersonalInfoAndAnony.aspx 133) 인체유래물은행 관련 지침

http://www.irb.or.kr/Home/html/menu08/PersonalInfoAndAnony.aspx

134) 인체유래물은행 관련 지침에 명시된 간접적 개인식별 정보로서는 해당 개인의 친척, 고용 주, 또는 가족의 성명, 특별하고 고유한 신원 확인적 특징, 희귀병이나 희귀 치료 또는 장애, 지역 거주민수가 작은 지역의 우편번호, 희귀한 직업이나 근무 장소 등이 명시되어 있다.

1 이름

2 생년월일(연령 계산 등을 위해 생년 월까지 기록하는 것은 해당하지 않는다.

단, 이때에는 이름, 주소 등의 추가 개인식별정보가 없어야 한다.) 3 사진

4 주소

5 주민등록번호 6 운전면허증번호 7 은행 계좌번호 8 전자메일주소

9 URLs(연구대상자의 식별 가능한 경우) 10 IP 번호(연구대상자의 식별 가능한 경우) 11 전화번호(연구대상자의 식별 가능한 경우) 12 팩스번호(연구대상자의 식별 가능한 경우) 13 의무기록번호 또는 환자등록번호

14 각종 자격증번호 및 학번 등 15 차량번호 (및 차량고유번호)

16 기타 식별 가능한 기호(잠재적 개인식별정보)

표 5. 인체유래물은행 관련 암호화 대상 개인정보

인체유래물은행 관련 지침에 대한 법효력의 문제와 생명윤리안전에 관한 법률과 개인정보보호법의 정합성을 따져야 할 것이다. 익명화 효과의 핵심은 추가 동의 획득 절차를 생략할 수 있다는 것이다. 하지만 실제로 바이오뱅크나 인체유래물질에는 같은 종류의 질병, 치료 방법 및 기증자를 식별 가능케 하는 모든 정보(personally identifiable information)가 함께 저장¹³⁵⁾되기 때문에 완벽한 익명화에는 한계가 있다.

익명화방법에 대해서도 쟁점이 있을 수 있다. 익명화 방법은 두 가지로 제시되며, 기관위원회 심의를 거쳐 한 가지를 선택할 수 있다. 그 중에 하나가 암호화인데,

135) Bernice S. Elger and Arthur L. Caplan, 2006, “Consent and anonymization in research involving biobanks: differing terms and norms present serious barriers to an international framework” EMBO reports no. 7(7): p. 661.

암호화란 즉각 판독 불가능한 코드화로 정의하고 있다. 이 방법이 모두 데이터 주체와의 연결을 제거하고 데이터 주체에 관한 특성의 특정 집합 사이의 연관을 끊어내는 가명화(Pseudonymization)¹³⁶⁾를 지칭하는지 그 방법론을 확인할 필요가 있다. 분명치 않은 점은 본 지침에서 제시하는 암호화 방법은 국가정보원에서 정하는 암호화 알고리즘에 준하도록 되어 있기 때문에 학술연구를 위한 목적 과는 상이할 수 있다.

또 다른 문제점은 다른 조항에서 권고하는 익명화방법은 보안책임자가 암호화 하는 경우와 인체유래물을 획득한 기관에서 암호화 하는 경우로 세분하고 있다.

그리고 복원이 필요한 경우 인체유래물은행의 기관위원회가 먼저 복원에 대한 결정을 승인하고 인체유래물을 획득한 기관에서 책임자들의 인증키를 통해 정보에 접근하도록 되어 있다. 이 조항은 복원할 수 있는 익명화를 전제하고 있다.

그렇다면, 암호화라는 용어보다는 익명화, 익명화라는 용어보다는 가명화 (Pseudonymization)라는 용어를 사용할 때, 더 명확하고 구체적인 기술을 적용 할 수 있을 것이다.